資訊安全

資訊安全之風險管理架構:

確保本公司資訊安全管理,108年4月成立 資訊安全委員會,由執行長擔任召集人,成立跨部門小組,組織架構圖如下,並訂定"資訊安全政策",於108年4月經執行長核定後實施,詳見投資者專區/公司治理/組織運作規章項下。

資訊安全委員會工作職掌:

  • 負責執行資訊安全工作之推展與政策規劃。
  • 擬訂資訊安全政策及管理原則與作業標準。
  • 定期辦理有關資訊安全教育訓練。
  • 確認資訊資產的所有權與控制皆有適當的管理。
  • 監控、記錄與調查資訊安全事件。
  • 整理彙總年度執行資安風險狀況,每年至少一次向董事會報告。

具體管理方案:

資訊安全具體管理方案因包含層面相當廣泛及深入,僅就下列諸項內容中簡舉例實際管理情形:

  • 人員安全管理及教育訓練。
  • 電腦系統安全管理。
    • 電腦病毒及惡意軟體之防範
      • 病毒防護軟體由資訊部統一進行定期規劃評估與建置安裝。
      • 本公司同仁應使用具合法版權軟體,避免上網下載來路不明之軟體。
      • 與外部交換資料時,使用資料前應啟動病毒防護軟體偵測。
  • 網路安全管理。
    • 網路安全規劃與管理
      • 本公司個人電腦需透過網卡位址(MAC Address)之比對,方可取得IP位址。
  • 系統存取控制。
    • 使用者存取管理
      • 所有網路使用者僅核發一個使用者帳號,如有特殊情形(如系統測試、免費軟體下載等用途),經會簽資訊部並奉核定後,始得核發匿名或多人共享的帳號。
  • 系統發展及維護之安全管理。
  • 資訊資產之安全管理。
  • 實體及環境安全管理。
    • 資訊機房安全管理
      • 機房管理人員應執行機房環境監測,每日填寫機房日誌,並注意機房溫溼度、空調及照明設備等之運轉狀況。
    • 實體設備及環境之安全管理
      • 電腦主機系統及其相關儲存與網路連結設備必須使用穩壓與不斷電系統供應電力,以避免電壓不穩定或瞬間斷電造成損害。
  • 業務永續運作計畫之規劃及管理。
    • 備援/備份作業之規劃與演練
      • 各部門資訊系統於上線運作後,應對該系統之原始程式碼進行備份2份,1份自行保管,另1份繳交資訊部統一進行異地儲存保管。
    • 資訊安全保障
      • 考量資安險仍是新興險種,理賠鑑識機構仍不明確且理賠條件無法適用所有資安事件,暫未投保資安險;在無投保資安險的情況下,為了降低可能發生資安事件所產生的危害,對內建立警示系統,於特定資訊安全事件發生時,能立即產生警示訊號通知系統管理人員,進而採取有效的防護措施,以減少人為疏失導致資安危害事件。

定期向董事會報告資訊安全管理概況:

董事會報告日期

主要報告內容

110/11/4

110年資訊安全查核與防護實際執行情形:

1. 完成美國 NIST CyberSecurity Framework 網路安全管理架構要求的資安風險驗證評測。

2. 駭客入侵 SolarWinds 的 Orion IT 平台之因應。

3. 重大資訊安全風險處理與駭客攻擊緊急因應。

4. 實施伺服器端及端點電腦弱點掃瞄與系統安全檢測。

5. 實施端點設備辨識並控管有線無線網路存取。

6. 每月稽核最多病毒感染的前 3 電腦並協助矯正。

7. 每月端點安全防護系統之安裝與啟動查核。

8. 每月電腦病毒及惡意軟體之防範與宣導。

9. 每季強制進行端點電腦安全驗證。

10. 每季企業防火牆與網路核心交換器異常流量分析。

11. 年中執行防護軟體政策稽核與矯正。

12. 持續透過線上學習平台實施人員資訊安全教育訓練。

13. 2021年截至報告日止,未有經證實侵犯客戶隱私或遺失客戶資料之投訴事項。